筆者從2017年參與中央企業(yè)合規(guī)管理體系建設(shè)試點工作��,為多個中央企業(yè)�����、省國資委和省屬國有企業(yè)合規(guī)管理體系建設(shè)提供咨詢意見�����。根據(jù)實務(wù)經(jīng)驗和對國內(nèi)外合規(guī)管理的研究����,形成一些對中央企業(yè)及其他國有企業(yè)(以下合稱“國有企業(yè)”)開展合規(guī)管理體系建設(shè)實務(wù)有關(guān)問題的認識�,希望對于企業(yè)合規(guī)管理人員和從事合規(guī)業(yè)務(wù)的律師同仁有所助益。
一����、明確國有企業(yè)合規(guī)管理體系建設(shè)的四個基本問題
國有企業(yè)開展合規(guī)管理���,進行合規(guī)管理體系建設(shè),目前還處于探索階段��。雖然國家相關(guān)政府部門先后出臺《中央企業(yè)合規(guī)管理指引(試行)》���、《企業(yè)境外經(jīng)營合規(guī)管理指引》以及GB/T 35770-2017《合規(guī)管理體系 指南》等合規(guī)管理政策與指引����,但實踐中開展合規(guī)管理體系建設(shè)頂層設(shè)計和具體工作時仍存在很多困惑�,歸納起來,主要有以下常見問題:
1. 什么是合規(guī)���,合什么“規(guī)”���;
2. 為什么要建立企業(yè)合規(guī)管理體系,合規(guī)管理體系風險管理�����、法律事務(wù)管理�����、內(nèi)部控制、審計�、紀檢監(jiān)察有什么聯(lián)系和區(qū)別;在企業(yè)已建立起其他管控體系的情況下開展合規(guī)管理體系建設(shè)是不是重復��,增加企業(yè)和員工負擔����;
3. 建立合規(guī)管理牽頭部門與其他職能部門的職責如何合理劃分�����,確保權(quán)責明確����,協(xié)同有效;
4. 開展合規(guī)管理體系建設(shè)要做哪些工作�����,哪些是必須的���,哪些是可以選擇的��,怎樣合理確定合規(guī)工作內(nèi)容����,體系建設(shè)多久可以完成;
5. 如何確保合規(guī)管理和合規(guī)體系建設(shè)確有實效�,真正發(fā)揮“合規(guī)保駕護航”、“合規(guī)創(chuàng)造價值”的作用�;
6. 如何具體開展合規(guī)工作,例如怎樣制定合規(guī)管理制度���,如何進行合規(guī)風險的識別與評估�,如何進行合規(guī)檢查�,怎樣組織和開展合規(guī)培訓等;
7. 如何考核與評估合規(guī)管理體系的有效性��。
正確認識和回答這些問題��,對于企業(yè)合規(guī)管理和合規(guī)管理體系建設(shè)具有重要意義����。對合規(guī)內(nèi)涵的認識片面、設(shè)定脫離本企業(yè)實際的合規(guī)目標與合規(guī)管理工作計劃��、應(yīng)用錯誤的方式方法開展工作都可能導致事倍功半,不僅浪費資源���,更可能得出合規(guī)管理沒有用的錯誤結(jié)論�,進而弱化合規(guī)在企業(yè)經(jīng)營中的作用����。這種不重視合規(guī)經(jīng)營的意識一旦在企業(yè)中形成潛在共識,極有可能增大企業(yè)的合規(guī)風險敞口���。
因此�,無論是企業(yè)的領(lǐng)導層或合規(guī)管理人員���,還是從事合規(guī)業(yè)務(wù)的律師、顧問����,在開展企業(yè)合規(guī)管理體系建設(shè)之前,都應(yīng)該從企業(yè)自身需求出發(fā)明確合規(guī)管理體系建設(shè)的四個基本問題���,即“是什么”�、“為什么”���、“做什么”和“怎么做”���。在對這些基本問題有了正確認識的基礎(chǔ)上���,再制定合規(guī)管理工作計劃,循序漸進���、有條不紊的開展具體工作����,將實現(xiàn)事半功倍的效果�。下文將逐個回答這四個問題。
合規(guī)最初起源于發(fā)達國家����,是監(jiān)管機構(gòu)對從事特定行業(yè)的企業(yè)或企業(yè)的特定經(jīng)營行為提出強制性要求并設(shè)定違規(guī)后果的法律體系���,因此合規(guī)的重點一直都是監(jiān)管合規(guī)��。合規(guī)還來源于一些國際組織的倡議�����,主要集中于反腐敗及反商業(yè)賄賂領(lǐng)域�。
英文Compliance翻譯成中文后的合規(guī),更好的詮釋了理解合規(guī)的兩個必備維度���,即:1����、合什么樣的“規(guī)”����;2、如何確?��!昂稀薄U_認識這兩個問題可以解決上述絕大多數(shù)關(guān)于合規(guī)管理的困惑����,追本溯源,從基本概念出發(fā)理清對合規(guī)的認識�。
合哪些“規(guī)”,這是每一家企業(yè)開展合規(guī)工作需要明確的首要問題��。對此,國內(nèi)合規(guī)管理兩個主要指導文件��,《中央企業(yè)合規(guī)管理指引(試行)》和《企業(yè)境外經(jīng)營合規(guī)管理指引》分別給出了相似但稍有不同的答案��??偨Y(jié)來說,兩份指引提出企業(yè)應(yīng)遵守的規(guī)范包括:法律法規(guī)���、監(jiān)管規(guī)定�、行業(yè)準則�����、企業(yè)依法制定的章程及規(guī)章制度��、國際條約和規(guī)則���、商業(yè)慣例和道德規(guī)范�。企業(yè)應(yīng)據(jù)此確定合規(guī)管理應(yīng)覆蓋的廣度���,特別是要把對企業(yè)章程和內(nèi)部規(guī)章制度的制定與遵守納入到合規(guī)管理范疇中來��。
目前沒有明確納入兩份指引的比較重要的兩類“規(guī)”是企業(yè)對外簽署的合同所包括的義務(wù)與企業(yè)其他對外承諾��,以及黨章等黨內(nèi)法規(guī)����,這可能是由于指引制定過程中對這兩類規(guī)范是否納入合規(guī)管理體系未形成統(tǒng)一意見。結(jié)合全球合規(guī)管理實踐�,以及確保合規(guī)管理體系的全面覆蓋以有效管控合規(guī)風險,筆者認為企業(yè)對外簽署的合同所包括的義務(wù)以及企業(yè)其他對外承諾應(yīng)納入“規(guī)”的范疇��,而現(xiàn)階段黨章等黨內(nèi)法規(guī)不應(yīng)納入“規(guī)”的范疇���。
除兩指引外�����,《合規(guī)管理體系 指南》對“規(guī)”的分類也值得重視�����?��!逗弦?guī)管理體系 指南》將“規(guī)”劃分為“合規(guī)要求”與“合規(guī)承諾”�����,合規(guī)要求是企業(yè)有義務(wù)遵守的要求,而合規(guī)承諾是企業(yè)選擇遵守的要求�����。這一分類對于厘清一些對合規(guī)的錯誤認識很有幫助��,例如合規(guī)不只是企業(yè)應(yīng)遵守的底線要求���,企業(yè)特別是大型國有企業(yè)作為負責任的市場經(jīng)濟主體和社會責任主體對本企業(yè)與員工提出的底線之上的更高要求與承諾��,理應(yīng)也成為合規(guī)之“規(guī)”的題中應(yīng)有之義�����。通過提出符合企業(yè)實際���、可執(zhí)行的合規(guī)承諾,除了提升國有企業(yè)的合規(guī)經(jīng)營形象��,企業(yè)甚至有可能成為新的商業(yè)環(huán)境���、商業(yè)道德�、行業(yè)準則或更好實踐的塑造者與引領(lǐng)者���。
由此可見�,通過對兩份指引及《合規(guī)管理體系 指南》的研究,不僅可以明確企業(yè)應(yīng)該合什么樣的規(guī)�,合規(guī)管理應(yīng)該將哪些規(guī)范納入管理范疇,還可以明確合規(guī)管理與企業(yè)其他部門職能的區(qū)別���,例如目前合規(guī)指引中涉及的規(guī)范不包括黨章等黨內(nèi)法規(guī)�����,因此黨內(nèi)法規(guī)在本企業(yè)的執(zhí)行情況應(yīng)不歸屬合規(guī)部門管理�����,也不宜納入合規(guī)管理體系���。
三、國有企業(yè)為什么要開展合規(guī)管理體系建設(shè)
在明確合規(guī)的內(nèi)涵和外延后�,接下來需要解決的問題就是國有企業(yè)為什么要開展合規(guī)管理體系建設(shè)。這是企業(yè)合規(guī)管理牽頭部門(如法律合規(guī)部等)申請分配合規(guī)管理所需資源�、外部律師和顧問開拓合規(guī)業(yè)務(wù)時必須回答的問題。概括來說���,有效的合規(guī)管理體系能夠識別和評估企業(yè)經(jīng)營過程中面臨的重大合規(guī)風險�����,在此基礎(chǔ)上有針對性的采取事前���、事中管控措施,從而避免企業(yè)遭受重大監(jiān)管處罰�����、經(jīng)濟損失����、聲譽損失及其他負面影響,并提升員工履職安全性�����。展開來說���,國有企業(yè)合規(guī)管理體系建設(shè)的必要性可以從以下幾個方面來理解:
第一���,國有企業(yè)在國民經(jīng)濟中的重要性。國有企業(yè)特別是中央管理企業(yè)���,在關(guān)系國家安全和國民經(jīng)濟命脈的主要行業(yè)和關(guān)鍵領(lǐng)域占據(jù)支配地位��,是國民經(jīng)濟的重要支柱�。國有企業(yè)的平穩(wěn)與高質(zhì)量運行對于國民經(jīng)濟的重要性不言而喻;
第二���,國有企業(yè)經(jīng)營中存在一定問題�����。例如現(xiàn)代企業(yè)制度還不健全���,一些企業(yè)管理混亂、內(nèi)部人控制��、利益輸送��、國有資產(chǎn)流失等問題突出�����;
第三��,依法經(jīng)營,合規(guī)管理是中央企業(yè)落實依法治國戰(zhàn)略的關(guān)鍵舉措和重要抓手�����;
第四�����,合規(guī)管理體系建設(shè)是國有企業(yè)應(yīng)對愈加復雜和有挑戰(zhàn)的經(jīng)營環(huán)境�����、提升核心競爭力的重要保障�。近年來�,大量國有企業(yè)在境內(nèi)外經(jīng)營過程中因違反反洗錢、反商業(yè)賄賂��、反欺詐等法律法規(guī)受到各國監(jiān)管機構(gòu)和國際組織嚴重處罰的案例屢見不鮮����,企業(yè)或被剝奪在一定時間內(nèi)參與國際組織資助項目的資格,或被切斷供應(yīng)鏈���,或被處以巨額罰款���,更有企業(yè)負責人及員工被判處刑事責任�。這些違規(guī)事件對企業(yè)經(jīng)營帶來了嚴重甚至毀滅性的影響,體現(xiàn)出合規(guī)無小事���;
第五,完善并有效運行的合規(guī)管理體系可以在一定程度上起到免責或降低違規(guī)責任的效果���。很多成熟的國內(nèi)外合規(guī)監(jiān)管體系均明確���,企業(yè)建立并持續(xù)運行有效的合規(guī)管理體系,主動發(fā)現(xiàn)違規(guī)行為并妥善處理�,積極配合監(jiān)管機構(gòu)進行調(diào)查,采取合規(guī)措施�����,將不被追究違規(guī)責任或被減輕違規(guī)責任����。因此,“合規(guī)免責”是建立合規(guī)管理體系的又一重要理由�����;
第六,建立健全合規(guī)管理體系����,依法合規(guī)經(jīng)營決策是降低企業(yè)領(lǐng)導人員和員工履職風險的重要舉措。2016年出臺的《國務(wù)院辦公廳關(guān)于建立國有企業(yè)違規(guī)經(jīng)營投資責任追究制度的意見》及2018年國務(wù)院國資委印發(fā)相應(yīng)實施辦法���,對于國有企業(yè)領(lǐng)導人和其他工作人員在履職過程中違規(guī)投資經(jīng)營導致國有資產(chǎn)損失確立了非常明確的追責機制���,相應(yīng)地�,加強合規(guī)經(jīng)營決策機制,落實合規(guī)審查機制等合規(guī)要求����,將成為判定國企工作人員是否對國有資產(chǎn)損失需承擔個人責任的重要依據(jù)。此外����,如何有效落實其他法律中的合規(guī)要求也應(yīng)受到重視,例如上市公司的董事�����、監(jiān)事和高級管理人員如果違反信息披露法律法規(guī)將可能承擔個人責任����。
實踐中����,面對以上種種合規(guī)管理必要性���,仍存在部分國有企業(yè)領(lǐng)導人不重視合規(guī)管理工作的情況����,甚至在企業(yè)已經(jīng)暴露出違規(guī)事件或重大合規(guī)風險信號時仍認為合規(guī)無用或不愿意分配合規(guī)資源采取應(yīng)對措施��。改變這種局面或許只能靠企業(yè)領(lǐng)導人法律合規(guī)意識的進一步提升���,以及外部監(jiān)管機構(gòu)執(zhí)法力度的加強�,因此并非一日之功���,也難以從微觀層面推進變革����。
四����、國有企業(yè)合規(guī)管理體系建設(shè)要做哪些工作
明確了合規(guī)的內(nèi)涵與合規(guī)管理的必要性�,下一個階段的工作就是要確定本企業(yè)合規(guī)管理工作的內(nèi)容��。
國有企業(yè)開展合規(guī)管理體系建設(shè)����,制定工作方案,首先必須了解國資監(jiān)管機構(gòu)對于國有企業(yè)合規(guī)管理體系的總體要求是什么��,以及什么樣的合規(guī)體系能夠?qū)ζ髽I(yè)產(chǎn)生切實的效用�。這里借助合規(guī)領(lǐng)域大家熟悉的兩個概念來回答這個問題,即“大合規(guī)”和“小合規(guī)”����。
先說小合規(guī)����。它一般是指遵守特定行業(yè)或特定部門法的合規(guī)要求并開展相應(yīng)的合規(guī)管理活動,例如銀行�����、保險���、證券等金融領(lǐng)域的合規(guī)管理��,或者美國《反海外腐敗法》�����、出口管制和貿(mào)易制裁法律體系下的合規(guī)管理��。
大合規(guī)是指在企業(yè)內(nèi)部建立全領(lǐng)域�����、多層級�、全面、系統(tǒng)的合規(guī)管理體系���,根據(jù)《中央企業(yè)合規(guī)管理指引(試行)》���,中央企業(yè)的合規(guī)管理“是指以有效防控合規(guī)風險為目的,以企業(yè)和員工經(jīng)營管理行為為對象���,開展包括制度制定�、風險識別��、合規(guī)審查��、風險應(yīng)對、責任追究��、考核評價���、合規(guī)培訓等有組織�、有計劃的管理活動”��。大合規(guī)也是國際上愈來愈通行的合規(guī)理念(即GRC��,Governance公司治理��,Risk Management風險管理��,Compliance合規(guī))�����,這與近年來全球主要發(fā)達國家監(jiān)管力度大幅加強����,企業(yè)尤其是全球性企業(yè)和跨國企業(yè)運營環(huán)境越來越復雜和面對的合規(guī)風險顯著提升有關(guān)��。
對于中國的國有企業(yè)來說��,合規(guī)管理體系建設(shè)需要以“大合規(guī)”理念為指引,這符合國資監(jiān)管機構(gòu)的政策與要求����,也是國有企業(yè)應(yīng)對日益顯著的合規(guī)風險的必然選擇。黨的十八大以來��,國家出臺了一系列依法治國����、深化國企改革、推進法治央企建設(shè)以及建立違規(guī)投資經(jīng)營責任追究機制等方面的政策法規(guī)�,要求中央企業(yè)和其他國有企業(yè)強化依法合規(guī)經(jīng)營?���!吨醒肫髽I(yè)合規(guī)管理指引(試行)》明確指出,中央企業(yè)需要遵守的規(guī)范包括�,“法律法規(guī)、監(jiān)管規(guī)定��、行業(yè)準則和企業(yè)章程��、規(guī)章制度以及國際條約����、規(guī)則等要求”����,合規(guī)管理的對象是“企業(yè)和員工經(jīng)營管理行為”�����,建立健全合規(guī)管理體系的第一個基本原則是全面覆蓋��,即應(yīng)確?����!昂弦?guī)要求覆蓋各業(yè)務(wù)領(lǐng)域��、各部門����、各級子企業(yè)和分支機構(gòu)、全體員工��,貫穿決策�、執(zhí)行�、監(jiān)督全流程”。因此�����,中央企業(yè)建立合規(guī)管理體系必須貫徹“大合規(guī)”理念才能夠符合國資委的監(jiān)管要求?�!吨醒肫髽I(yè)合規(guī)管理指引(試行)》出臺前后���,很多省國資委也紛紛啟動省屬企業(yè)合規(guī)管理體系建設(shè)工作�,并以《中央企業(yè)合規(guī)管理指引(試行)》為藍本制定合規(guī)政策文件�����,以全面��、系統(tǒng)性的合規(guī)管理體系建設(shè)為基本原則�,對省屬企業(yè)合規(guī)管理提出要求和指導。
大合規(guī)是全球大勢所趨���,這也是與此前在合規(guī)管理領(lǐng)域先行的很多外企偏重的小合規(guī)的本質(zhì)區(qū)別��。因此����,如何以大合規(guī)為指導原則建立國有企業(yè)合規(guī)管理體系是中國的合規(guī)從業(yè)人員必須要解決的難題。由于合規(guī)近年來成為抓眼球和新興的業(yè)務(wù)領(lǐng)域���,很多研究文章和講座喜歡借用合規(guī)的概念介紹具體部門法的要求與實務(wù)��,卻對大合規(guī)/全面合規(guī)及合規(guī)管理體系建設(shè)的要求與方法避而不談或一帶而過��。這里并不是說具體部門法領(lǐng)域的合規(guī)不重要����。事實正相反��,與企業(yè)業(yè)務(wù)與運營密切相關(guān)的重點領(lǐng)域的合規(guī)非常重要���,例如招投標�、投資并購�����、融資��、改組改制�、環(huán)境保護、數(shù)據(jù)合規(guī)�����、反商業(yè)賄賂等等�,但具體部門法領(lǐng)域的合規(guī)與全面合規(guī)管理和合規(guī)管理體系建設(shè)是兩個完全不同的問題。如果企業(yè)在確立合規(guī)管理體系建設(shè)方案之初沒有站在更高的層級和更宏觀的角度對本企業(yè)合規(guī)管理體系形成全面和系統(tǒng)性的認識與布局�,只見樹木不見森林,必然導致合規(guī)管理出現(xiàn)方向性錯誤和無效的后果����。
結(jié)合近幾年來為中央企業(yè)合規(guī)管理體系建設(shè)提供全方位咨詢的實踐和深入研究,包括對于國內(nèi)外較為成熟的合規(guī)管理體系建設(shè)指引的分析���,筆者認為�,國有企業(yè)的大合規(guī)管理體系��,應(yīng)是以合規(guī)風險識別與評估為中心與出發(fā)點�����,以企業(yè)戰(zhàn)略�����、業(yè)務(wù)和規(guī)劃為導向����,涵蓋合規(guī)組織體系����、合規(guī)制度體系����、合規(guī)運行和保障機制的全面系統(tǒng)性合規(guī)管理體系,如下圖所示�。
有效的合規(guī)管理體系必須與企業(yè)業(yè)務(wù)緊密結(jié)合,為實現(xiàn)企業(yè)戰(zhàn)略目標和發(fā)展規(guī)劃服務(wù)��,充分了解認識企業(yè)合規(guī)風險敞口和合規(guī)風險特點�,在此基礎(chǔ)上構(gòu)建人(組織體系)、制度(制度體系)和工具(運行和保障機制)協(xié)同發(fā)揮作用的����、具有實效的合規(guī)管理體系,真正起到為企業(yè)經(jīng)營發(fā)展保駕護航的作用�。因此,建立在合規(guī)風險識別評估基礎(chǔ)上的企業(yè)合規(guī)組織體系的搭建�、合規(guī)制度體系的建立健全及合規(guī)管理運行與保障機制的設(shè)計與運用,就是國有企業(yè)合規(guī)管理體系建設(shè)的核心工作內(nèi)容���。
五�、國有企業(yè)如何開展合規(guī)管理體系建設(shè)的具體工作
明確合規(guī)管理體系的指導原則和核心內(nèi)容后,企業(yè)應(yīng)有計劃�����、循序漸進的開展合規(guī)管理體系建設(shè)具體工作���。由于絕大多數(shù)國有企業(yè)目前合規(guī)管理現(xiàn)狀是尚未建立系統(tǒng)性的合規(guī)管理體系,需要從頭做起���,建議企業(yè)采用下圖所示的流程開展合規(guī)管理方案設(shè)計和執(zhí)行��。
囿于篇幅所限�,本文無法就每個流程和環(huán)節(jié)的目標��、方式方法和注意事項逐一展開介紹�����,例如每項合規(guī)管理運行保障機制的特點及運用方法(合規(guī)管理運行與保障機制包括制訂合規(guī)制度與合規(guī)指引�、合規(guī)審查、合規(guī)檢查���、合規(guī)風險提示與應(yīng)對����、合規(guī)管理人才培養(yǎng)、合規(guī)培訓����、合規(guī)文化宣貫、合規(guī)考核評價���、合規(guī)報告��、合規(guī)舉報與調(diào)查�����、違規(guī)追責以及合規(guī)管理有效性評價等)���,這里只提取幾個關(guān)鍵點予以介紹。
首先����,企業(yè)應(yīng)科學、合理確立為期3-5年的合規(guī)管理體系建設(shè)方案���。制定方案時應(yīng)考慮幾個重要因素:1)工作啟動和推廣范圍與步驟����;2)每個階段主要工作內(nèi)容;3)工作方式��。
就第一點來說�,目前國有企業(yè)開展合規(guī)管理體系建設(shè),是以集團總部為主導�,根據(jù)國務(wù)院國資委或者各省國資委的要求,在本集團內(nèi)開展合規(guī)管理體系建設(shè)����。一般有兩種方式�����,一是集團總部和集團內(nèi)試點下屬單位先行�����,再逐步覆蓋全集團各單位����;另一種方式是集團總部與各下屬單位同步開展。實踐中第一種方式更為常見�����,試點央企基本采用這種方式,優(yōu)勢在于能夠及時統(tǒng)一認識�,形成標準,總結(jié)經(jīng)驗�,重點突出。
對于第二點����,企業(yè)應(yīng)認識到合規(guī)管理體系的建立健全不能一蹴而就,應(yīng)先夯實根基��,確立體系的架構(gòu)����,然后再循序漸進。所謂的根基��,是充分考慮本企業(yè)戰(zhàn)略��、業(yè)務(wù)和規(guī)劃開展的全面合規(guī)風險識別評估工作���。合規(guī)管理工作應(yīng)以此為基礎(chǔ)構(gòu)建架構(gòu)�����,充實內(nèi)容��。通過合規(guī)風險識別評估����,企業(yè)應(yīng)建立合規(guī)風險庫,形成重大合規(guī)風險清單����,確立合規(guī)管理重點領(lǐng)域,明確合規(guī)管理的優(yōu)先級���。確定重點領(lǐng)域后,可分階段開展專項合規(guī)管理工作���。
在確立每年的合規(guī)工作計劃時�����,建議企業(yè)合規(guī)管理部門一定要對本企業(yè)合規(guī)管理體系建設(shè)的總體目標����、當前所處階段�、本年度合規(guī)管理資源(如預算)和完成相應(yīng)工作所需時間有全面考慮���。國務(wù)院國資委和很多省國資委出臺的合規(guī)指引中均要求所屬企業(yè)提供年度合規(guī)工作報告。因此�,按時、保質(zhì)保量完成本年度合規(guī)管理工作對于企業(yè)和合規(guī)管理部門����、合規(guī)管理人員來說是確立年度合規(guī)工作計劃的重要考量因素。對于大型國企來說���,很多合規(guī)管理工作可能涉及跨法域����、跨領(lǐng)域���、跨行業(yè)的內(nèi)容���,組織、協(xié)調(diào)內(nèi)外部資源布置工作任務(wù)��,審核��、整合工作成果通常需要比想象中更多的時間,因此要合理設(shè)定工作目標����,留出較為充足的工作時間。
第三點���,工作方式主要是指企業(yè)開展合規(guī)管理體系建設(shè)工作是主要依靠企業(yè)內(nèi)部合規(guī)管理人員還是外部律師�、顧問�����。筆者建議���,合規(guī)體系建設(shè)初期由外部律師���、顧問牽頭,與企業(yè)合規(guī)管理人員密切配合的方式更為現(xiàn)實和有效��。主要是由于一方面國企合規(guī)管理還處于初步啟動和探索階段��,合規(guī)管理人才資源非常有限�����,律師事務(wù)所和其他一些咨詢機構(gòu)人才相對集中�����,實務(wù)經(jīng)驗更豐富���;另一方面是企業(yè)合規(guī)管理人員配置也較為緊張�����,部分集團總部可能開始配備若干名專職合規(guī)管理人員����,很多集團下屬單位沒有設(shè)立專職合規(guī)崗位��,承擔合規(guī)管理工作的人員同時還承擔很多其他職責�,這導致在企業(yè)合規(guī)管理系建設(shè)初期需要密集開展大量工作時由企業(yè)合規(guī)管理人員承擔主要工作并不現(xiàn)實,因此這一階段主要由外部律師���、顧問牽頭是更為有效的方式�。當企業(yè)合規(guī)管理體系搭建逐漸完善�����,可以有序過渡到以企業(yè)合規(guī)管理人員為主開展合規(guī)管理工作,外部律師���、顧問僅在必要時提供合規(guī)咨詢建議的模式���。
其次,應(yīng)明確合規(guī)管理制度體系的層級�。企業(yè)應(yīng)根據(jù)合規(guī)管理制度的審批主體、目的�、適用范圍和內(nèi)容等差異將其分為不同層級,構(gòu)建“三位一體”合規(guī)制度體系�,確保合規(guī)要求全面覆蓋、與業(yè)務(wù)流程相融合����,同時具有可操作性、可落地性���?���!叭灰惑w”的合規(guī)制度體系由下圖所示:
除明確合規(guī)管理制度體系的層級外����,以下幾個問題也值得企業(yè)予以特別注意,實踐中起草制度時也會帶來較大挑戰(zhàn):合規(guī)管理制度與現(xiàn)有制度的協(xié)調(diào)�����,適用于企業(yè)集團內(nèi)部所有單位制度的概括性與針對性如何處理����,制度本身明確、邏輯自洽等�。
第三,合規(guī)風險識別評估的方法與流程應(yīng)科學合理�����、務(wù)實�。合規(guī)風險識別評估類似體檢,通過全面檢查了解健康情況�����,判斷是否需要對某些問題進行重點關(guān)注��,以避免出現(xiàn)健康問題而不自知�����。
以合規(guī)風險識別評估為核心與基礎(chǔ)的合規(guī)管理體系中,合規(guī)風險識別評估的重要性不言而喻���。然而���,目前理論和實務(wù)中多見的方法或建立在錯誤的認知基礎(chǔ)上,或無法實現(xiàn)邏輯自洽�,或非常理論和抽象化,不具備實操性��,體現(xiàn)出合規(guī)從業(yè)人員對于符合中國企業(yè)實際情況的合規(guī)風險識別評估還處于探索之中�。例如,有的方法以崗位為基礎(chǔ)識別合規(guī)風險���,這固然可以將風險管理責任落實到具體員工��,但也容易造成對合規(guī)風險的管理碎片化�,難以形成更宏觀和更全面的認識��;有的方法僅采用問卷和訪談等方式識別合規(guī)風險����,未全面考慮企業(yè)運營的外部合規(guī)要求;有的方法只關(guān)注具體部門法或具體行為相關(guān)的合規(guī)風險�,例如以《中央企業(yè)合規(guī)管理指引(試行)》提出的合規(guī)管理重點領(lǐng)域?qū)弦?guī)風險進行分類和識別�����,導致識別出的合規(guī)風險與本企業(yè)業(yè)務(wù)與運營形成“兩張皮”,合規(guī)風險幾乎放之四海而皆準�;還有的方法由外部律師、顧問設(shè)計合規(guī)風險識別����、評估問卷,交由企業(yè)合規(guī)管理和業(yè)務(wù)人員來完成���,此種方法雖然考慮了合規(guī)風險的主體和三道防線的作用����,但由于現(xiàn)階段國有企業(yè)合規(guī)管理資源配置非常有限�����,企業(yè)領(lǐng)導和業(yè)務(wù)部門��、其他職能部門的員工對于合規(guī)的認識也未能達到一定高度�,難以在常規(guī)工作外對合規(guī)風險識別評估工作投入較多時間,導致合規(guī)風險識別評估不全面�、不準確���。
結(jié)合研究和代理大型央企開展合規(guī)風險識別評估工作的實踐,筆者認為�,考慮到合規(guī)風險的本質(zhì)是違反合規(guī)義務(wù)帶來風險,為保證國有企業(yè)合規(guī)風險識別評估準確�、全面,可采用圍繞企業(yè)業(yè)務(wù)類型����、流程和運營職能構(gòu)建合規(guī)風險識別與評估的底層邏輯,以識別與企業(yè)業(yè)務(wù)及運營相關(guān)的合規(guī)義務(wù)為主����,結(jié)合調(diào)查問卷、訪談�����、梳理企業(yè)規(guī)章制度和內(nèi)外部合規(guī)風險事件等途徑���,由外部律師�、顧問形成合規(guī)風險庫底稿�����,由企業(yè)合規(guī)管理人員組織企業(yè)領(lǐng)導、業(yè)務(wù)部門和其他職能部門予以補充識別和全面評估的合規(guī)風險識別評估方法���,如下圖所示��。
此種模式的合規(guī)風險識別與評估��,從合規(guī)風險實質(zhì)出發(fā),根據(jù)當前企業(yè)合規(guī)管理資源配置現(xiàn)狀���,由企業(yè)合規(guī)管理部門統(tǒng)籌�����,利用資源相對更為豐富的外部律師事務(wù)所開展合規(guī)風險識別與評估的基礎(chǔ)性工作����,確保合規(guī)風險識別的全面性���,同時有效調(diào)動企業(yè)領(lǐng)導��、業(yè)務(wù)部門和其他職能部門從企業(yè)全局及本部門相關(guān)職責角度出發(fā)參與合規(guī)風險識別與評估��,在不顯著增加企業(yè)領(lǐng)導和其他部門工作量的情況下�����,一方面使工作成果更準確�、符合本企業(yè)實際,另一方面也能夠借此機會提升全體員工合規(guī)的意識�����。
第四�����,善用合規(guī)風險識別評估工作成果����,進行重點領(lǐng)域合規(guī)專項管理。合規(guī)風險識別與評估形成的工作成果應(yīng)成為企業(yè)開展科學合規(guī)管理工作的基礎(chǔ)���,一定要加以充分利用�。對于大型國企來說��,采用如上方式建立的集團合規(guī)風險庫應(yīng)由少則數(shù)百�、多則千余項合規(guī)風險點構(gòu)成,基本實現(xiàn)了對企業(yè)合規(guī)風險的全面覆蓋,有利于企業(yè)合規(guī)管理部門后續(xù)開展合規(guī)管理工作�,以及業(yè)務(wù)和其他部門全面了解并隨時查閱與本部門業(yè)務(wù)及職能相關(guān)的合規(guī)風險點。在合規(guī)風險庫全面覆蓋的基礎(chǔ)上��,為確保合規(guī)資源的有效合理分配�,企業(yè)可根據(jù)合規(guī)風險評估結(jié)果,結(jié)合企業(yè)當前戰(zhàn)略�、業(yè)務(wù)和規(guī)劃,確立合規(guī)管理重點領(lǐng)域����,運用前文介紹的合規(guī)管理運行工具開展合規(guī)管理�。
第五,認識到合規(guī)檢查是提升員工合規(guī)意識與合規(guī)能力的重要手段����。《中央企業(yè)合規(guī)管理指引(試行)》指出合規(guī)管理部門的主要職責包括組織開展合規(guī)檢查與考核,合規(guī)管理部門應(yīng)對此予以重視����。合規(guī)檢查中一般都會發(fā)現(xiàn)未能嚴格執(zhí)行外部合規(guī)要求和企業(yè)規(guī)章制度的情況,程度視企業(yè)管理水平��、員工素質(zhì)等有所差異���。對于檢查發(fā)現(xiàn)的問題�����,被檢查對象通常都比較重視�,檢查人員在形成初步檢查意見后會與被檢查對象進行溝通,包括對內(nèi)外部要求的理解�����、具體執(zhí)行情況的偏差及可能的后果等�,對于最終確認為不合規(guī)的問題,有關(guān)部門或人員還需進行合規(guī)整改���。因此����,合規(guī)檢查通過施加一定外部壓力的方式能夠一定程度上提升員工的合規(guī)意識與合規(guī)能力�����。
第六�,合規(guī)培訓應(yīng)區(qū)分合規(guī)管理技能培訓與業(yè)務(wù)合規(guī)培訓。為提升合規(guī)培訓的有效性�����,根據(jù)培訓目的、對象�、內(nèi)容等不同,應(yīng)將合規(guī)培訓分為面向企業(yè)合規(guī)管理人員的培訓�,主要介紹合規(guī)管理理論與實務(wù)經(jīng)驗,類似本篇內(nèi)容�����;以及面向企業(yè)業(yè)務(wù)和其他職能部門的合規(guī)培訓��,立足于特定業(yè)務(wù)活動或經(jīng)營管理行為��,例如投資并購���、建設(shè)工程、私募基金等具體業(yè)務(wù)的合規(guī)培訓����,以及反壟斷、反商業(yè)賄賂���、融資擔保等經(jīng)營管理活動的合規(guī)培訓�����。通過安排有針對性的培訓內(nèi)容���,提升全體員工的合規(guī)意識與合規(guī)能力���。
六、當前國有企業(yè)合規(guī)管理體系建設(shè)的突出難點以及應(yīng)關(guān)注的問題
第一�,合規(guī)與其他企業(yè)管理體系的關(guān)系,合規(guī)管理職能與其他職能的協(xié)同融合�����。合規(guī)管理與法律事務(wù)管理�、全面風險管理、內(nèi)控���、審計�、紀檢監(jiān)察等其他管理體系的區(qū)別與聯(lián)系是我們在實踐工作中被反復問到的問題����。準確回答這一問題,首先還是要從合規(guī)的概念出發(fā)�,“合”什么“規(guī)”���,怎么“合”。舉例來說�,合規(guī)管理的反腐敗與反商業(yè)賄賂與國有企業(yè)紀檢監(jiān)察工作有一定交集,但所依據(jù)的主要規(guī)范類型不同�。反腐敗與反商業(yè)賄賂主要是《刑法》、《反不正當競爭法》或美國《反海外腐敗法》等國家立法機關(guān)制定的法律法規(guī)�,而紀檢監(jiān)察主要依據(jù)的規(guī)范性文件是《中國共產(chǎn)黨章程》、《中國共產(chǎn)黨黨內(nèi)監(jiān)督條例》等黨內(nèi)法規(guī)�����。
在各種對于合規(guī)與其他管理體系關(guān)系的闡述中��,有一種表述影響較大���,具有一定代表性���,即合規(guī)是內(nèi)部控制一部分,合規(guī)管理的范疇屬于內(nèi)控管理范疇���。縱然合規(guī)與內(nèi)控工作有一定交叉�����,內(nèi)控部分工作方法和工具也可以為合規(guī)管理工作所借鑒,但這是一種錯誤理解����,遵循這種理解開展合規(guī)管理體系建設(shè)可能會導致由不適格的主體按照錯誤的方法開展工作,最終形成不準確����、無實效的工作成果。
根據(jù)《企業(yè)內(nèi)部控制基本規(guī)范》第三條���,內(nèi)部控制是由企業(yè)董事會���、監(jiān)事會、經(jīng)理層和全體員工實施的����、旨在實現(xiàn)控制目標的過程,第二十八條進一步規(guī)定�����,控制措施一般包括不相容職務(wù)分離控制�、授權(quán)審批控制����、會計系統(tǒng)控制���、財產(chǎn)保護控制��、預算控制�����、運營分析控制和績效考評控制等�。由此可見����,內(nèi)部控制并不主要關(guān)注企業(yè)的合規(guī)問題,可以說核心是財務(wù)報告相關(guān)的內(nèi)部控制����;另外從性質(zhì)上來說,內(nèi)控管理更側(cè)重程序性控制���。
與內(nèi)控相比�����,合規(guī)既包括程序性控制�,也包括實質(zhì)性控制���。合規(guī)實質(zhì)性控制需要對企業(yè)或員工某項業(yè)務(wù)和經(jīng)營活動是否符合企業(yè)應(yīng)遵守的規(guī)范要求做出實質(zhì)性判斷�。例如����,企業(yè)跨境收購是否應(yīng)向有關(guān)政府機構(gòu)進行反壟斷申報,收購后境外標的數(shù)據(jù)資產(chǎn)的存儲與使用應(yīng)遵守哪些合規(guī)要求���,世行資助項目的建設(shè)工程投標材料是否真實�����、準確�,符合世行合規(guī)要求���,聘請的第三方中介機構(gòu)是否有反賄賂違規(guī)風險�,金融機構(gòu)是否要根據(jù)所在地監(jiān)管當局要求提供特定客戶信息或改進反洗錢管理體系等等����。如果忽視合規(guī)的實質(zhì)性控制屬性�,將使合規(guī)管理工作的意義和作用黯然失色�����,也必然導致企業(yè)無法對自身經(jīng)營的合規(guī)風險有正確的認識�,合規(guī)管理工作事倍功半。
在從事合規(guī)管理與內(nèi)控管理的機構(gòu)/人員屬性方面����,也可以看到合規(guī)與內(nèi)控的顯著差異。合規(guī)管理主要依據(jù)法律法規(guī)���、監(jiān)管要求和內(nèi)部規(guī)章制度展開��,因此《中央企業(yè)合規(guī)管理指引(試行)》中提出應(yīng)由中央企業(yè)相關(guān)負責人或總法律顧問擔任合規(guī)管理負責人����,法律事務(wù)機構(gòu)或其他相關(guān)機構(gòu)為合規(guī)管理牽頭部門���,合規(guī)管理人員一般具有法律專業(yè)背景���,外部顧問主要是律師事務(wù)所。而內(nèi)控工作主要由企業(yè)內(nèi)控部門及具備財務(wù)背景的內(nèi)控專業(yè)人員從事,例如《企業(yè)內(nèi)部控制基本規(guī)范》要求企業(yè)應(yīng)當在董事會下設(shè)立審計委員會����,審計委員會負責審查企業(yè)內(nèi)部控制�����,提供企業(yè)內(nèi)控管理咨詢的外部顧問主要是會計師事務(wù)所����。
在厘清合規(guī)管理與其他管理體系區(qū)別與聯(lián)系的基礎(chǔ)上,如何使合規(guī)管理工作與法律事務(wù)管理�、全面風險管理、內(nèi)控�����、審計�����、紀檢監(jiān)察相統(tǒng)籌���、相銜接��,提升管理效率����,是需要合規(guī)從業(yè)人員結(jié)合企業(yè)組織架構(gòu)、職責和工作流程等因素進行探索的重要問題�����。
第二����,合規(guī)管理人才的培養(yǎng)。具備專業(yè)化�����、高素質(zhì)的合規(guī)管理隊伍是企業(yè)合規(guī)管理有效的最重要條件之一����。企業(yè)合規(guī)管理人員應(yīng)具備法律專業(yè)背景,具有較為廣泛的法律基礎(chǔ)知識儲備和視野�����,充分了解本企業(yè)業(yè)務(wù)���、所處行業(yè)的特點及常見合規(guī)風險�����,掌握一定合規(guī)管理理論知識與實務(wù)經(jīng)驗�。由于目前國企合規(guī)管理還處于起步階段,滿足國企合規(guī)管理需求的合規(guī)管理人員還很有限�����,企業(yè)應(yīng)考慮分配一定資源加強選聘和培訓合規(guī)管理人員����,國資監(jiān)管機構(gòu)也可采用聘請外部專家��、開展研討與交流等方式為所出資企業(yè)合規(guī)管理人才的培養(yǎng)創(chuàng)造條件����。
對于外部律師來說,如何結(jié)合國內(nèi)外合規(guī)管理理論與先進經(jīng)驗��,形成適合中國國有企業(yè)的合規(guī)管理方法論和成熟經(jīng)驗��,為企業(yè)提供更好服務(wù)��,以及如何在大型合規(guī)管理咨詢項目中做好項目管理,統(tǒng)籌各方面資源�,組建最符合項目需求的境內(nèi)外律師團隊,安排���、完成工作任務(wù)���,整合、驗收工作成果���,與客戶保持有效溝通�,都對外部律師提出了很高的要求��。與企業(yè)合規(guī)管理人員相似�,大型國企合規(guī)管理項目的主辦律師應(yīng)是具備通才視野的專才,是具備法律思維同時兼具商業(yè)思維和管理思維的復合型人才��,是具備迅速準確理解客戶業(yè)務(wù)����、有合規(guī)管理專業(yè)技能和經(jīng)驗之外其他領(lǐng)域執(zhí)業(yè)經(jīng)驗的人才。這種高標準的人才要求是由合規(guī)管理是典型的法商結(jié)合領(lǐng)域����、合規(guī)必須融于業(yè)務(wù)的屬性所決定的����。
大型國企的合規(guī)項目還對外部顧問的承接能力提出了很高要求����。在筆者主辦的某央企合規(guī)項目中,有項工作需要在全球數(shù)十個國家開展合規(guī)調(diào)查并由當?shù)芈蓭煶鼍叻梢庖?。項目前期僅選擇境外律師事務(wù)所、進行接觸詢價���、明確工作內(nèi)容����、協(xié)商價格調(diào)整的郵件往來就有百余封����,后期審查境外律師工作成果���,提出各類意見的往來郵件又有數(shù)百封�����。項目進程中各類事前難以預見的困難更是不一而足�����,例如通過各種方式均無法聯(lián)系到境外律師���,向不同法域的律師以能夠使其理解的方式解釋特定法律概念和服務(wù)需求��,審查境外律師工作小時和費用���,設(shè)定工作反饋時間并監(jiān)督執(zhí)行等。通過團隊努力�����,項目最終得以在規(guī)定時間和固定預算內(nèi)高質(zhì)量完成�,我們整合各國律師工作成果,形成一份中文合規(guī)調(diào)查報告���,并附所有支撐性文件提交給客戶�����,印證了大成的“一站式”法律服務(wù)能力與優(yōu)勢����。
第三,合規(guī)管理的信息化�。以《中央企業(yè)合規(guī)管理指引(試行)》為代表,國內(nèi)外各類合規(guī)管理指引一般都要求企業(yè)強化合規(guī)管理信息化建設(shè)�,通過信息化手段優(yōu)化管理流程,記錄和保存相關(guān)信息����,并加強對依法合規(guī)經(jīng)營情況的實時監(jiān)控和風險分析。目前國企基本已初步具備信息化管理手段��,但普遍功能較為單一���,較難實現(xiàn)對經(jīng)營管理活動的實時監(jiān)控��,也沒有合規(guī)管理功能模塊���。但對于大型國有企業(yè)�����,特別是全球化運營的企業(yè)來說�,確保信息在各業(yè)務(wù)領(lǐng)域、各部門����、各級子企業(yè)和所有境內(nèi)外分支機構(gòu)能夠及時�����、通暢傳遞與歸集��、分析�,并對管理活動和管理決策予以充分固化非常重要�����。因此�����,在企業(yè)現(xiàn)有信息化建設(shè)的基礎(chǔ)上如何研發(fā)和實現(xiàn)合規(guī)管理的信息化����,也需要合規(guī)從業(yè)人員在實務(wù)中不斷探索。
在國家政策的引領(lǐng)下���,在全球合規(guī)監(jiān)管愈發(fā)嚴格的背景下���,我國國有企業(yè)全面�����、系統(tǒng)的合規(guī)管理工作與合規(guī)管理體系建設(shè)方興未艾���,合規(guī)管理與合規(guī)業(yè)務(wù)正當時。探索�、形成符合中國國有企業(yè)特點的合規(guī)管理經(jīng)驗,協(xié)助中國企業(yè)在全球化競爭中�����、在現(xiàn)有規(guī)則體系內(nèi)憑借先進的管理水平立于不敗之地�����、避免受制于人是我們合規(guī)從業(yè)人員的責任��。合規(guī)管理是一項科學的系統(tǒng)工程�����,本篇文章縱有萬言����,仍只是管中窺豹,希望筆者基于合規(guī)管理實務(wù)的思考與建議能夠?qū)ζ髽I(yè)和外部顧問開展合規(guī)管理工作有所幫助���,引發(fā)思考�,推動形成國有企業(yè)合規(guī)管理最佳實踐��。
